Ausfallsichere OPNsense-Firewall für Koller International Group

Erneuerung der Hardware und Implementierung eines redundanten OPNsense Clusters über die Landesgrenzen hinaus. [...]

Foto: PeteLinforth/Pixabay

Die Firma Koller International Group mit Hauptsitz in Vitis, Österreich, ist in verschiedenen Geschäftsbereichen tätig, wie der Produktion von Whirlpool-Komponenten, Metall- und Kunststofftechnik sowie Holzprodukten für Geschäfts- und Privatkunden. Neben dem Stammwerk in Vitis gibt es zwei weitere Niederlassungen in Wien und in Jindrichuv Hradec (Tschechische Republik).

Die bestehende Firewall-Lösung war in die Jahre gekommen, und deren Hersteller hatte für die eingesetzten Geräte End of Support bzw. End of Life angekündigt. Koller International ist langjähriger Kunde von Siedl Networks und beauftragte den IT-Dienstleister aus Krems an der Donau im April 2022 mit der Planung und Implementierung einer neuen Firewall-Lösung.

Die Herausforderung…

Gewünscht war eine leistungsfähige State-of-the-Art-Firewall auf Multi-GBit-Niveau, ausfallsicher vom Internet bis zum Client. Im Anforderungskatalog standen die Punkte „Redundanz“ und „Kontinuität“ an oberster Stelle: Bei einer Störung oder einem kompletten Ausfall der Internetleitung sollten alle wichtigen Dienste wie E-Mail, VPN, etc. weiter funktionieren.

Alle Niederlassungen, auch die Außenstandorte in Wien und Tschechien, müssen redundant angebunden sein. Das Failover muss im Störungsfall schnell und automatisch mit minimalen Umschaltzeiten erfolgen, um einen unterbrechungsfreien Betrieb des Netzwerkes zu gewährleisten. Natürlich sollte das Zurückschalten in den Normalbetrieb auch automatisch erfolgen, sobald die Störung behoben ist.

Auf der Wunschliste stand ebenfalls eine sichere VPN-Verbindung für Remote Worker. Die Mitarbeitenden sollen von zu Hause oder unterwegs sicher auf das Unternehmensnetzwerk zugreifen und vertrauliche Informationen geschützt übermitteln können.

Die Lösung…

Siedl Networks realisiert digital souveräne IT-Infrastrukturen mit Open-Source-Technologien und in diesem Fall empfahlen die Techniker aufgrund der erfolgreichen Erfahrungen in mehreren Kundenprojekten eine Open-Source-Lösung: OPNsense.

Nach einer ausführlichen Recherche entschieden sich die Techniker von Siedl Networks, an jedem Standort zwei Geräte mit OPNsense einzurichten. Am Standort Vitis kommunizieren die beiden Geräte miteinander – fällt eines aus, übernimmt das andere automatisch, ohne dass ein Administrator manuell eingreifen muss. In Wien und Tschechien waren Cold Standby Lösungen gewünscht. Im Fehlerfall muss der Administrator manuell die 2. Firewalls in Betrieb nehmen.

Bei der Planung stellte sich heraus, dass neben den OPNsense® Rack Security Appliances auch neue Core-Switches am Standort Vitis erforderlich waren. Bei den bisher eingesetzten Switches gab es nicht nur Kompatibilitätsprobleme, sondern die älteren Geräte unterstützten nicht alle benötigten Protokolle.

Das WAN-seitige Routing, um die Kommunikation zwischen verschiedenen Standorten und Netzwerken zu ermöglichen, war komplex. Damit eine WAN-seitige Redundanz hergestellt werden konnte, wurden zwei Glasfaseranschlüsse von unterschiedlichen Providern und auch Netzbetreibern (eine A1-Leitung und eine Nögig-Leitung) eingesetzt.

Damit im Falle eines Ausfalles der primären Internetleitung dennoch alle Services zur Verfügung stehen, wird nun ein via BGP (Border Gateway Protocol) geroutetes Subnetz verwendet, welches im Fehlerfall über den Backup-Provider gerouted werden kann.

Weiters war die Gestaltung eines voll vernetzten (Full-meshed), ausfallsicheren VPN sehr anspruchsvoll. Hier waren im Vorfeld umfangreiche Tests und einige Entwicklungsarbeit notwendig. IPsec war für das geplante Setup unbrauchbar, OpenVPN bot zu wenig Bandbreite, und Wireguard war zu diesem Zeitpunkt noch nicht gut genug in OPNsense integriert.

Die Techniker entschieden sich daher für tinc VPN (Full Meshed auf Layer 2, d.h. das VPN simuliert die gesamte Netzwerkschicht und die verschiedenen Geräte und Standorte erscheinen als Teil eines einzigen lokalen Netzwerks). tinc VPN ist effizient und ressourcenschonend, was die Netzwerklatenz minimiert und sicherstellt, dass die VPN-Kommunikation effizient und mit minimalen Auswirkungen auf die Netzwerkressourcen stattfindet.

Die Umsetzung …

Nachdem die Planungsphase abgeschlossen war, begannen die Techniker von Siedl Networks im Juli 2022 mit den Tests im eigenen Labor. Sie stellten die Kundennetzwerke nach, konfigurierten die Hardware und führten zahlreiche Ausfalltests durch. Das ist effizient und verkürzt die Installationszeit. Nach rund 10 Tagen waren alle zufrieden – jetzt konnte die Implementierung bei Koller International beginnen. Innerhalb weniger Tage stellten die Techniker die Standorte in Tschechien, Wien und Vitis um.

Die OPNsense-Cluster mit Session Sync ermöglichen ein Stateful Failover bei einem Hardwareausfall. Jede Firewall ist redundant über das Link Aggregation Control Protocol (LACP) an einen neuen Switch-Stack (2 mal 10 GBit) angebunden, und jeder Server ist ebenfalls redundant über LCAP mit dem Switch-Stack verbunden. Die Client-Switches sind in einem RSTP-Ring mit dem Switch-Stack verbunden. Diese Ringtopologie ermöglicht redundante Verbindungen, die den Datenverkehr auch dann weiterleiten können, wenn eine der Verbindungen oder ein Switch ausfällt.

Als Intrusion Detection and Prevention System (IDPS) kommt Suricata zum Einsatz, eine der Kernkomponenten von OPNsense. Das Netzwerküberwachungstool analysiert den Netzwerkverkehr in Echtzeit, kann Bedrohungen und Angriffe erkennen und darauf reagieren. Suricata kann den Netzwerkverkehr filtern, bestimmte Verbindungen blockieren oder Alarme auslösen, um Administratoren über verdächtige Aktivitäten zu informieren. Dazu kommen Funktionen wie Traffic Logging, Protocol Analysis, Flow Monitoring etc.

Das Fazit …

Die neue Firewall mit OPNsense ist leistungsstark und ausfallsicher. Sie ermöglicht den reibungslosen Betrieb aller Standorte – auch bei einer Unterbrechung der Internetleitung. Auch das vollautomatische Failover erfüllt alle Ansprüche. Alles ist so konfiguriert, dass Ausfallzeiten auf ein Minimum reduziert werden können. Dank der intelligenten Konfiguration schaltet die Firewall automatisch in den Normalbetrieb zurück, sobald eine Störung behoben ist.

Siedl Networks hat die Herausforderung gemeistert – durch die neue State-of-the-Art Lösung ist die Koller International Group nun optimal geschützt und kann ihre Geschäftsprozesse ohne Sicherheitsbedenken fortsetzen.


Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*